Euroopan tietosuojaneuvoston kuudes täysistunto: mm. Privacy Shield, brexit ja kliiniset lääketutkimukset

28.1.2019 15.39
Tiedote

Euroopan tietosuojaviranomaisista koostuva Euroopan tietosuojaneuvosto kokoontui kuudenteen täysistuntoonsa 22.–23. tammikuuta.

Privacy Shield -järjestely

Tietosuojaneuvosto hyväksyi EU: n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toisen vuosikatsauksen. Euroopan tietosuojaneuvosto suhtautuu myönteisesti siihen, että Yhdysvaltojen viranomaiset ja komissio ovat ryhtyneet toteuttamaan Privacy Shield -järjestelyä, erityisesti toimia, joiden tarkoituksena on mukauttaa alkuperäistä sertifiointimenettelyä, aloittaa valvonta- ja täytäntöönpanotoimet sekä julkaista asiakirjoja, jotka liittyvät osittain turvallisuusluokituksen poistamisen (kuten FISC-tuomioistuimen päätökset), uuden puheenjohtajan sekä yksityisyyden ja kansalaisvapauksien valvonnasta vastaavan lautakunnan (Privacy and Civil Liberties Oversight Board, PCLOB) kolmen uuden jäsenen nimittämiseen ja pysyvän oikeusasiamiehen nimittämiseen.

Tämän katsauksen jälkeenkin Privacy Shield -järjestelyn täytäntöönpanoa koskevat huolenaiheet ovat edelleen olemassa. Jo Euroopan tietosuojaneuvoston edeltäjän, WP29:n, asiakirjassa on todettu, ettei valikoimatonta henkilötietojen keruuta ja käyttöä kansalliseen turvallisuuteen liittyvissä tarkoituksissa ole suljettu pois. Nykyisen tiedon valossa Euroopan tietosuojaneuvosto ei myöskään voi olla varma, että oikeusasiamiehellä on riittävät valtuudet korjata näiden periaatteiden noudattamatta jättäminen. Lisäksi neuvosto huomauttaa, etteivät Privacy Shield -järjestelyn periaatteiden noudattamista koskevat tarkastukset ole riittävän kattavia.

Brexit

Euroopan tietosuojaneuvosto keskusteli brexitin mahdollisista seurauksista tietosuojaan. Neuvosto sopi tekevänsä yhteistyötä liittyen brexit-valmisteluihin sekä niihin tietojensiirtomenetelmiin, jotka ovat käytettävissä sen jälkeen, kun Iso-Britannia ei enää ole EU:n jäsen.

Kliiniset lääketutkimukset

Euroopan tietosuojaneuvosto antoi Euroopan komission pyynnöstä lausunnon kliinisiin tutkimuksiin liittyvistä kysymyksistä. Lausunnossa käsitellään erityisesti näkökohtia, jotka liittyvät asianmukaisiin oikeusperusteisiin kliinisissä lääketutkimuksissa sekä tutkimustiedon toissijaiseen käyttöön tieteellisissä tarkoituksissa. Lausunto toimitetaan seuraavaksi Euroopan komissiolle.

Vaikutustenarviointi

Euroopan tietosuojaneuvosto on antanut lausunnot tietosuojaa koskevasta vaikutustenarvioinnista (DPIA), jonka Liechtenstein ja Norja ovat neuvostolle toimittaneet. Tietosuojaa koskeva vaikutustenarviointi on prosessi, jonka avulla voidaan tunnistaa ja lieventää tietosuojaan liittyviä riskejä, jotka voivat vaikuttaa yksilöiden oikeuksiin ja vapauksiin. Vaikka rekisterinpitäjän on yleensä arvioitava, edellytetäänkö tietosuojaa koskevaa vaikutustenarviointia ennen käsittelytoiminnan aloittamista, kansallisten valvontaviranomaisten on laadittava ja julkaistava luettelo käsittelytoimista, joihin sovelletaan tietosuojaa koskevaa vaikutustenarviointia.

Nämä kaksi lausuntoa noudattavat syyskuun täysistunnossa hyväksyttyjä 22 lausuntoa ja joulukuun täysistunnossa hyväksyttyjä neljää lausuntoa, ja ne auttavat osaltaan vahvistamaan yhteiset kriteerit tietosuojaa koskevan vaikutustenarvioinnin luettelolle koko Euroopan talousalueella.

Sertifiointia koskeva ohjeistus

Euroopan tietosuojaneuvoston sertifiointia koskeva ohjeistus hyväksyttiin julkisen kuulemisen ja sen perusteella tehtyjen muutosten jälkeen. Lisäksi neuvosto hyväksyi uuden liitteen. Tietosuojaneuvoston ensimmäinen täysistunto hyväksyi luonnoksen suuntaviivoista toukokuussa. Ohjeiden ensisijaisena tavoitteena on määritellä yleiset kriteerit, jotka voivat olla merkityksellisiä yleisen tietosuoja-asetuksen 42 ja 43 artiklan mukaisesti myönnettyjen sertifiointimekanismien kannalta. Ohjeissa selvennetään perusteluja sertifioinnin käyttämiselle vastuuvälineenä sekä asetuksen 42 ja 43 artiklan keskeisiä käsitteitä. Lisäksi ohjeet tarkentavat sitä, mitä voidaan sertifioida, ja kuvaavat sertifioinnin tarkoitusta. Ohjeet auttavat jäsenvaltioita, valvontaviranomaisia ja kansallisia akkreditointielimiä näiden tarkistaessa ja hyväksyessä yleisen tietosuoja-asetuksen mukaisia sertifiointiperusteita. Ohjeeseen kuuluvasta liitteestä järjestetään julkinen kuuleminen.

Lisätietoja:

tietosuojavaltuutettu Reijo Aarnio,  puh. 040 520 7068, reijo.aarnio(at)om.fi